課程設(shè)計（論文）基于SSL電子商務(wù)網(wǎng)站安全登錄系統(tǒng)設(shè)計與實現(xiàn)

1、樹達(dá)學(xué)院課 程 設(shè) 計 論 文題 目 基于ssl電子商務(wù)網(wǎng)站 安全登錄系統(tǒng)設(shè)計與實現(xiàn) 姓 名 學(xué) 號 院 （系） 樹達(dá)學(xué)院（理工系） 專業(yè)、年級 08通信工程 指導(dǎo)教師 起止時間 2010.09.15 至 2010.09.30 二一一年九月湖南師范大學(xué)課程設(shè)計任務(wù)書課程設(shè)計題目基于ssl電子商務(wù)網(wǎng)站安全登陸系統(tǒng)設(shè)計與實現(xiàn)作 者 姓 名蔣少軍所屬院、專業(yè)、年級 樹達(dá) 院 通信工程 專業(yè) 2008 年級指導(dǎo)教師鄧月明（講師）設(shè)計任務(wù)：任務(wù)：理解ssl的原理，基于java虛擬機，完成數(shù)字證書的生成與提交方法，前后臺登錄方式的設(shè)計；ssl登錄的處理。（1） 基于java虛擬機完成數(shù)字證書的生成與提交方

2、法（2） 基于java虛擬機完成前后臺登錄方式的設(shè)計（3） 理解ssl的原理（4） ssl登錄的處理總體要求： 在切實理解ssl概念的基礎(chǔ)上，通過分析電子商務(wù)網(wǎng)站安全登陸系統(tǒng)，掌握java虛擬機的操作，完成數(shù)字證書的生成與提交方法、完成前后臺登錄方式的設(shè)計。著重理解ssl的原理，最后要進(jìn)行總結(jié)，包括設(shè)計心得、展望等。設(shè)計原始資料：（1） 精通pki網(wǎng)絡(luò)安全認(rèn)證技術(shù)與編程實現(xiàn)（2） 學(xué)術(shù)期刊：包括期刊論文和學(xué)位論文（3） 自己上網(wǎng)查找相關(guān)資料完成本設(shè)計應(yīng)具備的環(huán)境（軟件、硬件）：（1）軟件環(huán)境 windows操作系統(tǒng)、java虛擬機（2）硬件環(huán)境 無各階段任務(wù)安排：第一周選擇子任務(wù)，查閱資料，進(jìn)

3、行子系統(tǒng)整體設(shè)計。第二周進(jìn)行嵌入式實驗開發(fā)系統(tǒng)配置、驅(qū)動程序的開發(fā)及移植，并進(jìn)行調(diào)測。第三周完成系統(tǒng)設(shè)計，撰寫課程設(shè)計報告。主要參考資料：（1）精通pki網(wǎng)絡(luò)安全認(rèn)證技術(shù)與編程實現(xiàn)（2）ssl協(xié)議體系結(jié)構(gòu)簡述（3）網(wǎng)絡(luò)安全與保密（4）計算機網(wǎng)絡(luò)（5）java開發(fā)實戰(zhàn)經(jīng)典六、指導(dǎo)老師聯(lián)系方式：email：dengyuemingtel:目錄摘要5一、ssl的原理6二、數(shù)字證書的生成與提交方法7三、前后臺登錄方式的設(shè)計9四、ssl登錄的處理12設(shè)計心得15參考文獻(xiàn)16源代碼17摘要隨著計算機、網(wǎng)絡(luò)、信息技術(shù)的發(fā)展和日益融合，互聯(lián)網(wǎng)internet己進(jìn)入我國國民經(jīng)濟和社會生活

4、的各個領(lǐng)域和各個環(huán)節(jié)，無論是政府機關(guān)、工礦企業(yè)還是家庭、個人，都可以通過internet獲取資訊，共享信息。internet的快速發(fā)展，也引起電子商務(wù)的蓬勃發(fā)展。電子商務(wù)是在internet與傳統(tǒng)信息技術(shù)相結(jié)合的背景下應(yīng)運而生的一種動態(tài)商務(wù)活動，電子支付系統(tǒng)是電子商務(wù)體系的重要組成部分，主要用來解決電子商務(wù)中的各交易實體(用戶、商家、企業(yè)、銀行等)間資金流和信息流在internet上的即時傳遞及其安全性問題。隨著電子商務(wù)的快速發(fā)展，電子支付系統(tǒng)一直是國內(nèi)電子商務(wù)體系中的薄弱環(huán)節(jié)，越來越成為制約電子商務(wù)發(fā)展的一個關(guān)鍵因素。因此，本文著重研究構(gòu)建一個安全的電子支付系統(tǒng)，以解決電子商務(wù)中實時在線的安

5、全支付問題。ssl的原理1、ssl協(xié)議基本介紹安全套接層（secure sockets layer，ssl）是網(wǎng)景公司（netscape）在推出web瀏覽器首版的同時，提出的協(xié)議。ssl采用公開密鑰技術(shù)，保證兩個應(yīng)用間通信的保密性和可靠性，使客戶與服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽?？稍诜?wù)器和客戶機兩端同時實現(xiàn)支持，目前已成為互聯(lián)網(wǎng)上保密通訊的工業(yè)標(biāo)準(zhǔn)，現(xiàn)行web瀏覽器亦普遍將http和ssl相結(jié)合，從而實現(xiàn)安全通信。此協(xié)議和其繼任者傳輸層安全（transport layer security，tls）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。tls與ssl在傳輸層對網(wǎng)絡(luò)連接進(jìn)行加密。

6、2、ssl協(xié)議提供的服務(wù)主要有：1）認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器； 2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??； 3）維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。3、ssl協(xié)議工作流程：服務(wù)器認(rèn)證階段：1）客戶端向服務(wù)器發(fā)送一個開始信息“hello”以便開始一個新的會話連接；2）服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應(yīng)客戶的“hello”信息時將包含生成主密鑰所需的信息；3）客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；4）服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。 用戶認(rèn)證

7、階段：在此之前，服務(wù)器已經(jīng)通過了客戶認(rèn)證，這一階段主要完成對客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。 4、ssl協(xié)議優(yōu)勢ssl協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨立無關(guān)的。高層的應(yīng)用層協(xié)議 (例如：http、ftp、telnet等等 ) 能透明的建立于ssl協(xié)議之上。ssl協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。 數(shù)字證書的生成與提交方法1、創(chuàng)建證書java 中的 keytool.exe （位于 jdkbin 目錄下）可以用來

8、創(chuàng)建數(shù)字證書，所有的數(shù)字證書是以一條一條(采用別名區(qū)別)的形式存入證書庫的中，證書庫中的一條證書包含該條證書的私鑰，公鑰和對應(yīng)的數(shù)字證書的信息。證書庫中的一條證書可以導(dǎo)出數(shù)字證書文件，數(shù)字證書文件只包括主體信息和對應(yīng)的公鑰。每一個證書庫是一個文件組成，它有訪問密碼，在首次創(chuàng)建時，它會自動生成證書庫，并要求指定訪問證書庫的密碼。在創(chuàng)建證書的的時候，需要填寫證書的一些信息和證書對應(yīng)的私鑰密碼。這些信息包括 cn=xx,ou=xx,o=xx,l=xx,st=xx,c=xx，它們的意思是：cn（common name - 名字與姓氏）ou（organization unit - 組織單位名稱）o（or

9、ganization - 組織名稱）l（locality - 城市或區(qū)域名稱）st（state - 州或省份名稱）c（country - 國家名稱）可以采用交互式讓工具提示輸入以上信息，也可以采用參數(shù)，如：-dname “cn=xx,ou=xx,o=xx,l=xx,st=xx,c=xx”來自動創(chuàng)建。如下所示一句采用交互式創(chuàng)建一個證書，指定證書庫為 bocsoftkeylib，創(chuàng)建別名為 testcertification 的一條證書，它指定用 rsa 算法生成，且指定密鑰長度為 1024，證書有效期為 1 年：c:jdk1.4binkeystorekeytool -genkey -alias

10、testcertification -keyalg rsa -keysize 1024 -keystore bocsoftkeylib -validity 3652.證書的操作1)證書的顯示使用如下命令： keytool list keystore bocsoftkeylib 將顯示 bocsoftkeylib 證書庫的的所有證書列表：將證書導(dǎo)出到證書文件，使用命令：keytool -export -alias testcertification -file tc.cer -keystore bocsoftkeylib 將把證書庫 bocsoftkeylib 中的別名。 testcertifi

11、cation 的證書導(dǎo)出到 tc.cer 證書文件中，它包含證書主體的信息及證書的公鑰，不包括私鑰，可以公開。導(dǎo)出的證書文件是以二進(jìn)制編碼文件，無法用文本編輯器正確顯示，可以加上 -rfc參數(shù)以一種可打印的編者編碼輸出。 如：keytool -export -alias testcertification -file tc.cer -keystore bocsoftkeylib -storepass 123456 rfc這個命令在命令行中指定了證書庫的訪問密碼，同時指定以可查看編碼的方式輸出。2)通過證書文件查看證書的信息通過命令: keytool printcert file tc.cer

12、可以查看證書文件的信息。 也可以在 windows 資源管理器中雙擊產(chǎn)生的證書文件直接查看。3)證書條目的刪除keytool的命令行參數(shù) -delete 可以刪除密鑰庫中的條目，如： keytool -delete -alias testcertification -keystore bocsoftkeylib，這條命令將 bocsoftkeylib 庫中的 testcertification 這一條證書刪除了。4)證書條目口令的修改使用 -keypasswd 參數(shù)，如：keytool keypasswd alias testcertification keystore bocsoftkeyl

13、ib，可以以交互的方式修改 bocsoftkeylib 證書庫中的條目為 testcertification 的證書。keytool keypasswd alias testcertification keypass 654321 new 123456 storepass 888888 keystore bocsoftkeylib 這一行命令以非交互式的方式修改庫中別名為 testcertification 的證書的密碼為新密碼 654321，行中的 123456 是指該條證書的原密碼， 888888 是指證書庫的密碼。前后臺登錄方式的設(shè)計1、登錄處理頁面（login.apsx.cs）登錄處理

14、頁面的功能是獲取ssl登錄的證書，讀取證書標(biāo)識查詢用戶數(shù)據(jù)庫驗證用戶身份或權(quán)限。如果驗證為合法用戶則設(shè)置session后跳轉(zhuǎn)到用戶頁面，否則跳轉(zhuǎn)到出錯頁面。login.apsx.cs的源碼如下：2、用戶頁面（main.apsx.cs）用戶頁面即合法用戶登錄后頁面，此頁面在page_load函數(shù)添加代碼檢查session。如果session失效則跳轉(zhuǎn)到出錯頁面。main.apsx.cs的源碼如下：3、出錯顯示頁面（err.apsx.cs）此頁面為出錯顯示頁面，次頁面接收errmsg參數(shù)，設(shè)置出錯提示的信息。err.apsx.cs的源碼如下：4、測試功能假如我們把上述頁面部署在iis上，運行的效果

15、如下。（1）以https方式訪問login.aspx頁面，彈出證書選擇框，選擇登錄使用的證書，如下圖所示。（2）登錄處理頁面即login.aspx.cs代碼獲取證書信息，確定用戶權(quán)限。如果是合法用戶則跳轉(zhuǎn)到main.apsx頁面，否則跳轉(zhuǎn)到err.aspx頁面，如下圖所示。ssl登錄的處理1、ssl登錄處理頁面（login.jsp）login.jsp主要功能是獲得客戶端證書，解析證書獲得證書標(biāo)識，然后查詢用戶庫驗證用戶的身份和權(quán)限。如果用戶身份合法則設(shè)置session并跳轉(zhuǎn)到main.jsp頁面，否則跳轉(zhuǎn)到err.js頁面。login.jsp的源碼如下2、用戶主頁面（main.jsp） 用戶主

16、頁面即為合法用戶登錄后的頁面。該頁面主要是檢查一下session，如果session有效則正常顯示，否則跳轉(zhuǎn)到出錯頁面。 main.jsp的源碼如下：3、出錯處理頁面（err.jsp）出錯處理頁面主要功能是接收出錯信息并提示。err.jsp的源碼如下：4、測試代碼把上述代碼部署在tomcat服務(wù)器上，運行效果如下。（1）以https的方式瀏覽login.jsp進(jìn)行登錄。選擇ssl登錄的數(shù)字證書，如下圖所示：（2）如果登錄成功，則跳轉(zhuǎn)到main.jsp頁面，如下圖所示：設(shè)計心得本次我的課程設(shè)計是基于ssl電子商務(wù)網(wǎng)站安全登陸系統(tǒng)設(shè)計和實現(xiàn)，經(jīng)過本次課程設(shè)計的練習(xí)，讓我對ssl協(xié)議有了進(jìn)一步的認(rèn)識

17、，知道了ssl協(xié)議的定義、工作流程及其原理。通過跟老師的交流，以及老師對我提出的要求，我用java程序生成了一個數(shù)字證書。通過老師推薦的資料精通pki網(wǎng)絡(luò)安全認(rèn)證技術(shù)與編程實現(xiàn)，我在上面學(xué)習(xí)了到了前后臺登錄方式的設(shè)計以及ssl登錄的處理，這讓我對ssl的了解有了更深的認(rèn)識，使我更加扎實的掌握了有關(guān)ssl方面的知識，在設(shè)計過程中雖然遇到了一些問題，但經(jīng)過一次又一次的思考，一遍又一遍的檢查終于找出了原因所在，也暴露出了前期我在這方面的知識欠缺和經(jīng)驗不足。實踐出真知，通過親自動手制作，使我們掌握的知識不再是紙上談兵。過而能改，善莫大焉。在課程設(shè)計過程中，我們不斷發(fā)現(xiàn)錯誤，不斷改正，不斷領(lǐng)悟，不斷獲取。最終的檢測調(diào)試環(huán)節(jié)，本身就是在踐行“過而能改，善莫大焉”的知行觀。這次課程設(shè)計終于順利完成了，在設(shè)計中遇到了很多問題，最后在老師的指導(dǎo)下，終于游逆而解。在今后社會的發(fā)展和學(xué)習(xí)實踐過程中，一定要不懈努力，不能遇到問題就想到要退縮，一定要不厭其煩的發(fā)現(xiàn)問題所在，然后一一進(jìn)行解決，只有這樣，才能成功的做成想做的事，才能在今后的道路上劈荊斬棘，而不是知難而退，那樣永遠(yuǎn)不可能